Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:squid-installer-un-proxy-transparent [02/10/2015 18:52] milou atelier:chantier:squid-installer-un-proxy-transparent renommé en doc:reseau:squid-installer-un-proxy-transparent (Page taguée à placer, sortie du chantier) |
doc:reseau:squid-installer-un-proxy-transparent [01/11/2015 17:17] milou [Configuration de squid comme proxy transparent] |
||
|---|---|---|---|
| Ligne 44: | Ligne 44: | ||
| === Configuration d'iptables (NAT) === | === Configuration d'iptables (NAT) === | ||
| <note important> | <note important> | ||
| - | Si vous avez suivi "iptables:un pare-feu pour une passerelle" et installé [[atelier:chantier:iptables-un-pare-feu-pour-une-passerelle?&#le-script-de-la-passerelle|ce script]], passez directement au pre-requis [[utilisateurs:hypathie:tutos:proxy-transparent?&#table-de-routage|Table de routage]] | + | Si vous avez suivi "iptables:un pare-feu pour une passerelle" et installé [[doc:reseau:iptables-pare-feu-pour-une-passerelle?&#le-script-de-la-passerelle|ce script]], passez directement au pre-requis [[utilisateurs:hypathie:tutos:proxy-transparent?&#table-de-routage|Table de routage]] |
| </note> | </note> | ||
| * Pour faire les choses proprement on flush les tables concernées et on ajoute : | * Pour faire les choses proprement on flush les tables concernées et on ajoute : | ||
| Ligne 90: | Ligne 90: | ||
| * Éditer le fichier /etc/rc.local | * Éditer le fichier /etc/rc.local | ||
| <code root>vim /etc/rc.local</code> | <code root>vim /etc/rc.local</code> | ||
| - | <code> | + | |
| + | <file config rc.local> | ||
| /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.1 dev eth0 | /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.1 dev eth0 | ||
| /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth1 | /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth1 | ||
| - | exit 0</code> | + | exit 0 |
| + | </file> | ||
| <note>On peut aussi créer un script init.d (update-rc.d) pour sauvegarder les règles de routage.\\ Ou encore préciser dans /etc/network/interfaces la route pour chaque interface.\\ La méthode ci-dessus n'a d'intérêt que dans le cas où l'IP est attribuée par DHCP au niveau de /etc/network/interfaces.</note> | <note>On peut aussi créer un script init.d (update-rc.d) pour sauvegarder les règles de routage.\\ Ou encore préciser dans /etc/network/interfaces la route pour chaque interface.\\ La méthode ci-dessus n'a d'intérêt que dans le cas où l'IP est attribuée par DHCP au niveau de /etc/network/interfaces.</note> | ||
| Ligne 105: | Ligne 107: | ||
| ===Configurer /etc/sysctl.conf === | ===Configurer /etc/sysctl.conf === | ||
| La première ligne est probablement déjà configurée tel que ci-dessous. Modifier aussi la seconde | La première ligne est probablement déjà configurée tel que ci-dessous. Modifier aussi la seconde | ||
| - | <code> | + | <file config sysctl.conf> |
| # Controls IP packet forwarding | # Controls IP packet forwarding | ||
| net.ipv4.ip_forward = 1 | net.ipv4.ip_forward = 1 | ||
| Ligne 113: | Ligne 115: | ||
| </code> | </code> | ||
| * Faire prendre en compte une éventuelle modification : | * Faire prendre en compte une éventuelle modification : | ||
| - | <code root>sysctl -p</code> | + | <code root>sysctl -p |
| + | </file> | ||
| Ligne 153: | Ligne 156: | ||
| * **Ce qui donne :** | * **Ce qui donne :** | ||
| - | <code> | + | <file config squid.conf> |
| acl manager proto cache_object | acl manager proto cache_object | ||
| acl localhost src 127.0.0.1/32 ::1 | acl localhost src 127.0.0.1/32 ::1 | ||
| Ligne 183: | Ligne 186: | ||
| refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 | refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 | ||
| refresh_pattern . 0 20% 4320 | refresh_pattern . 0 20% 4320 | ||
| - | </code> | + | </file> |
| > Il est inutile d'interdire le trafic du LAN (192.168.1.0/24) avec une acl ''acl localnet src 192.168.1.0/24'' ; ''http_access deny localnet'' car on a tout interdit sauf localhost (127.0.0.0/8) et localnet. | > Il est inutile d'interdire le trafic du LAN (192.168.1.0/24) avec une acl ''acl localnet src 192.168.1.0/24'' ; ''http_access deny localnet'' car on a tout interdit sauf localhost (127.0.0.0/8) et localnet. | ||
| Ligne 195: | Ligne 199: | ||
| * **On ajoute une acl pour le lan et on l'autorise !** | * **On ajoute une acl pour le lan et on l'autorise !** | ||
| <code root>vim /etc/squid3/squid.conf</code> | <code root>vim /etc/squid3/squid.conf</code> | ||
| - | <code> | + | |
| + | <file config squid.conf> | ||
| <...> | <...> | ||
| acl lan src 192.168.1.0/24 | acl lan src 192.168.1.0/24 | ||
| <...> | <...> | ||
| http_access allow localnet | http_access allow localnet | ||
| - | </code> | + | </file> |
| * **On recharge squid3 :** | * **On recharge squid3 :** | ||
